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( EP1024636A ) The method involves allocating first addresses (MAC-A) to 
communication units (PC1 ,...,PCn) and to a network connection unit (HLB) for 
identifying the units and second addresses (IPA) for identifying a unit and its local 
network (LAN). A request message is sent to all units determined by using the 
second address for determining the first addresses of the communication units. 
The method involves allocating first addresses (MAC-A) to communication units 

(PC1 PCn) and to a network connection unit (HLB) for identifying the units and 

second addresses (IPA) for identifying a unit and its local network (LAN). A request 
message is sent to all units determined by using the second address for determining 
the first addresses of the communication units. 

The request message is sent by the network connection unit. A communication unit 
retransmits an acknowledgement message to the network connection unit when a 
request message is received. The first address of the communication unit is 
transmitted together with the acknowledgement message and stored in the security 
unit (FWALL) allocated to the corresponding communication unit. 
The request message is sent by the network connection unit. A communication unit 
retransmits an acknowledgement message to the network connection unit when a 
request message is received. The first address of the communication unit is 
transmitted together with the acknowledgement message and stored in the security 
unit (FWALL) allocated to the corresponding communication unit. 
Use - E.g. for e-mail, internet, intranet. 
Use - E.g. for e-mail, internet, intranet. 

Advantage - Enables automatic determination of MAC addresses of communication 
terminal connected to local network. 

Advantage - Enables automatic determination of MAC addresses of communication 
terminal connected to local network. 
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(54) Verfahren zur Konf igurierung einer Slcherheitseinrichtung In einer 
Kommunikationseinrichtung 



(57) Die vorliegende Kommunikationseinrichtung 
(PBX) ist uber eine Netz-AnschluBeinheit (HLB) 
mit einem, mehrere Kommunikationseinheiten 

(PC1 PCn) aufweisenden lokalen Netz (LAN) ver- 

bindbar. Den Kommunikationseinheiten (PC1 PCn) 

und der Netz-AnschluBeinheit (HLB) sind jeweils eine 
erste und eine zweite Adresse (MAC-A; IP-A) zugeord- 
net. Fur eine Ermittlung der ersten Adressen (MAC-A) 
der Kommunikationseinheiten (PC1,...,PCn) durch die 
Netz-AnschluBeinheit (HLB) wird eine Anforderungs- 



nachricht (ARP) an alle, im lokalen Netz (LAN) adres- 
sierbaren Einheiten gesendet, wobei in Fallen, in denen 

eine Kommunikationseinheit (PC1 PCn) infolge einer 

empfangenen Anforderungsnachricht (ARP) eine 
Bestatigungsmeldung an die Netz-AnschluBeinheit 
(HLB) uberm'rttelt, die mitubermittelte erste Adresse 

(MAC-A) der Kommunikationseinheit (PC1 PCn) in 

der Sicherheitseinrichtung (FWALL) gespeichert wird. 
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Beschreibung 

[0001] Aufgrund einer Tendenz in Firmen immer 
mehr Information auf elektronischem Weg auszutau- 
schen, z.B. uber elektronische Post - in der Literatur 5 
haufig als 'E-Mail' bezeichnet • Oder zur Verfugung zu 
stellen, z.B. uber das sogenannte 'Intranef bzw. 'Inter- 
net' kommt es zunehmend sowohl durch externe als 
auchdurch interne Teilnehmer zu einem unberechtigten 
Zugriff auf diese Dienste. Urn einen unberechtigten 10 
Zugriff auf diese Dienste unterbinden zu kflnnen, wer- 
den Sicherheitseinrichtungen - in der Literatur haufig als 
'Firewall' bezeichnet - eingerichtet, die bei einem von 
einem Teilnehmer initialisierten Verbindungsaufbau 
bzw. bei einer von einem Teilnehmer initialisierten is 
Datenubermittiung uberprufen, ob dieser Teilnehmer 
zur Nutzung eines von ihm gewunschten Dienstes 
berechtigt ist. 

[0002] Aus der deutschen Offenlegungsschrift DE 
197 1 1 720 A1 ist eine Netzkopplungseinhe'rt mit einer 20 
Sicherheitseinrichtung FWALL fur ein Kbmmunikations- 
system bekannt, durch welche bei einem Datentransfer 
zwischen an dem Kommunikationssystem angeschlos- 
senen internen und externen Kommunikationsendgera- 
ten uberpruft wird, ob die Kommunikationsendgerate for 25 
einen derartigen Datentransfer berechtigt sind. In der 
Literatur wird in diesem Zusammenhang haufig von 
einer, durch die Sicherheitseinrichtung realisierten Fil- 
terfunktion gesprochen. Insbesondere erfolgt uber die 
Sicherheitseinrichtung der Netzkopplungseinheit eine 30 
sichertieitstechnische Entkopplung von an dem Kom- 
munikationssystem angeschlossenen lokalen Netzen - 
in der Literatur haufig mit LAN (Lokal Area Network) 
abgekurzt - und einem Offentlichen Kommunikations- 
netz - beispielsweise einem ISDN-orientierten Kbmmu- 35 
nikationsnetz (integrated Services Digital Network). 
[0003] Fur eine Realisierung einer derartigen Filter- 
funktion werden in der Sicherheitseinrichtung bei einer 
DatenObermittlung im allgemeinen sowohl die 
Ursprungs- als auch die Zieladresse der zu ubermitteln- 40 
den Daten auf ihre Zuiassigkeit fur eine derartige 
DatenObermittlung - in der Literatur haufig als Source- 
und Destinationprufung bezeichnet - uberpruft. Wird 
eine Datenubermittiung von einem, an einem lokalen 
Netz angeschlossenen Kommunikationsendgerat initia- 45 
lisiert ist die Ursprungs-Adresse der zu ubermittelnden 
Daten die sogenannte LAN-ldentrfizierung des Kbmmu- 
nikationsendgerates. Diese standardisierte LAN-ldenti- 
fizierung ist durch eine sogenannte MAC-Adresse 
(Medium Access Control) gebildet, welche von der so 
IEEE (institute of Electrical and Electronical Engineers) 
weltwert eindeutig vergeben wird und in einem nicht- 
flOchtigen Speicher des Kbmmunikationsendgerates 
fest gespeichert ist. 

[0004] Fur eine Kbnfigurierung der Sicherheitsein- 55 
richtung, d.h. fur ein Zuweisen einer endgerateindividu- 
ellen Berechtigung zu einem Kommunikationsendgerat 
in der Sicherheitseinrichtung ist es somit fur einen 



Administrator notwendig, die MAC-Adresse des Kom- 
munikationsendgerates im lokalen Netz zu kennen. Bis- 
her erfolgt eine Ermittlung der MAC-Adressen von, an 
einem lokalen Netz angeschlossenen Kommunikations- 
endgeraten in der Regel manuell. d.h. die MAOAdres- 
sen werden jeweiis einzeln an den angeschlossenen 
Kommunikationsendgeraten mittels geeigneter Vorrich- 
tungen ausgelesen und vom Administrator manuell in 
eine hierfur vorgesehene Liste eingetragen. 
[0005] Der vorliegenden Erfindung liegt die Auf- 
gabe zugrunde. ein Verfahren anzugeben, durch wel- 
ches eine automatische Ermittlung von MAC-Adressen 
der, an einem lokalen Netz angeschlossenen Kommuni- 
kationsendgerate errnOglicht wird. 
[0006] Die Ldsung der Aufgabe erfolgt erf indungs- 
gemaB mit den Merkmalen des Patentanspruchs 1 . 
[0007] Zum besseren Verstandnis der Funktions- 
weise einer Sicherheitseinrichtung in einem Kommuni- 
kationssystem erscheint es erfbrderlich zunachst noch 
einmal auf bereits bekannte Prinzipien naher einzuge- 
hen. 

[0008] Fur eine Datenubermittiung zwischen Kom- 
munikationseinrichtungen istjeder Kommunikationsein- 
richtung eine eindeutige, d.h. weltweit gultige 
Iderrtifizierung bzw. Adresse zugeordnet. Da die eine 
Datenubermittiung realisierenden Anwendungen - z.B. 
eine Datenubermittiung initialisierendes, auf einer Kbm- 
munikationseinrichtung ablaufendes Softwaremodul - 
auf verschiedenen Ebenen (Schichten) des OSI-Refe- 
renzmodells (Open Systems interconnection) angesie- 
delt sein kOnnen, sind den Kommunikations- 
einrichtungen gegebenenfalls mehrere, auf unter- 
schiedlichen Ebenen des OSI-Referenzmodel!s gultige 
Iderrtif izierungen bzw. Adressen zugewiesen. 
[0009] So ist jedem an einem lokalen Netz LAN 
angeschlossenen Kommunikationsendgerat, bzw. der 
den AnschluB an das lokale Netz realisierenden 
AnschluBbaugruppe eine sogenannte LAN-ldentifizie- 
rung - beispielsweise eine MAC-Adresse - und eine 
sogenannte logische Netz-ldentifizierung - beispiels- 
weise eine IP-Adresse (Internet Protokoll) - zugeordnet. 
Die LAN-ldentifizierung realisiert dabei eine auf der 
Schicht 2 (Sicherungsschicht) des OSI-Referenzmo- 
dells angesiedelte 6 Byte lange Hardware-Adresse und 
ist jeweiis in einem auf der, den AnschluB an das lokale 
Netz realisierenden AnschluBbaugruppe angeordneten 
nicht-fluchtigen Speicher gespeichert. Die logische 
Netz-identifizierung ist 4 Byte lang und ist auf der 
Schicht 3 (Vermittlungsschicht) des OSI-Referenzmo- 
dells angesiedelt. Die logische Netz-ldentifizierung 
identifiziert sowohl die entsprechende AnschluBbau- 
gruppe als auch das mit der AnschluBbaugruppe ver- 
bundene lokale Netz. 

[0010] Bei einer Datenubermittiung zwischen 
einem ersten, an einem lokalen Netz angeschlossenen 
Kommunikationsendgerat und einem zweiten, an einem 
Offentlichen - beispielsweise einem ISDN-orientierten - 
Kommunikationsnetz angeschlossenen Kbmmunikati- 
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onsendgerat erfolgt eine Realisation der Filterfunktion 
einer Sichertieitseinrichtung abhangig von der Richtung 
der DatenObermittlung auf unterschiedlichen Ebenen 
des OSI-Schichtenmodells. Bei einer DatenObermitt- 
lung ausgehend vom zweiten Kommunikationsendgerat 5 
zum ersten Kommunikationsendgerat wird Qber das 
dffentliche Kommunikationsnetz lediglich die IP- 
Adresse des zweiten Kommunikationsendgerates an 
die Sicherheitseinrichtung Obermitteit. Eine Realisation 
der Filterfunktion erfolgt somit auf Basis der IP-Adresse, 1 
so daB hier in der Literatur haufig von einer sogenann- 
ten 'IP-Firewall' gesprochen wird. Bei einer DatenOber- 
mittlung ausgehend vom ersten Kommunikations- 
endgerat zum zweiten Kommunikationsendgerat Oder 
bei einer DatenObermittlung zwischen zwei an verschie- 1 
denen lokalen Netzen angeschlossenen Kommunikati- 
onsendgeraten wird - alternativ oder zusatzlich zur IP- 
Adresse - die MAC-Adresse des ersten Kommunikati- 
onsendgerates an die Sicherheitseinrichtung Obermit- 
teit Eine Realisation der Filterfunktion erfolgt somit - ; 
alternativ oder additiv zur IP-Adresse - auf Basis der 
MAC-Adresse, so daB hier in der Literatur haufig von 
einer sogenannten 'MAC-Firewall' gesprochen wird. 
[0011] Ein wesentlicher Vorteil des erfindungs- 
gemafien Verfahrens besteht nun darin, daB bei einer 
automatischen Ermittlung der MAC-Adressen von an 
einem lokalen Netz angeschlossenen Kommunikations- 
einrichtungen der Zeitaufwand fOr die Ermittlung 
wesentlich verkOrzt und gleichzeitig die Fehleranfailig- 
keit reduziert wird. 

[0012] Vorteilhafte Weiterbildungen der Erfindung 
sind in den Unteranspruchen angegeben. 
[001 3] Ein Vorteil von in den Unteranspruchen def i- 
nierten Ausgestaltungen der Erfindung besteht unter 
anderem darin, daBdurch eine Kombination einer, dem 
lokalen Netz zugeordneten Netzmaske mit der IP- 
Adresse des lokalen Netzes eine Ermittlung der IP- 
Adressen aller im lokalen Netz adressierbaren Einrich- 
tungen auf einfache Weise ermOglicht wird. 
[0014] Ein Ausfuhrungsbeispiel der Erfindung wird 
im folgenden anhand der Zeichnung naher eriautert 
[0015] Dabeizeigen: 

Fig. 1 ein Strukturbild zur schematischen Darstel- 
lung der an dem erf indungsgemaBen Verfah- 
ren beteiligten wesentlichen Funkrjons- 
einheiten; 

Fig. 2 ein Strukturbild zur schematischen Darstel- 
lung der an einem lokalen Netz angeschlos- 
senen Kommunikationsendgerate; 

Fig. 3 ein Ablaufdiagramm zur Veranschaulichung 
der bei einer Ermittlung der MAC-Adressen 
von an einem lokalen Netz angeschlossenen 
Kommunikationsendgeraten ablaufenden 
wesentlichen Verfahrensschritte. 

[0016] Fig. 1 zeigt eine schematische Darstellung 
einer Kommunikationsanlage PBX mit darin angeordne- 



ten AnschluBeinheiten zum AnschluB von Kommunika- 
tionsnetzen bzw. Kommunikationsendgeraten an die 
Kommunikationsanlage PBX. Beispielhaft sind eine 
AnschluBeinheit AE mit einer AnschluBschnittstelle KN- 
SS zum AnschluB eines Gffentlichen Kommunikations- 
netzes KN - beispielsweise eines ISDN-orientierten 
Kommunikationsnetzes (integrated Services Digital 
Network) - und eine LAN-AnschluBeinheit HLB mit einer 
LAN-AnschiuBschnittstelle LAN-SS zum AnschluB 
0 eines lokalen Netzes LAN (Local Area Network) darge- 
stelrt. Des weiteren sind beispielhaft an das Kommuni- 
kationsnetz KN ein Kommunikationsendgerat KE und 
an das lokale Netz LAN mehrere Datenverarbeitungs- 
einrichtungen PC1,...,PCn - beispielsweise Personal 
is Computer - angeschlossen. 

[0017] Fur eine, z.B. im Rahmen einer DatenOber- 
mittlung erfolgende Adressierung der LAN-AnschluB- 
einheit HLB ist dieser sowohl eine LAN-ldentifizierung 
als auch eine logische Netz-ldentrfizierung zugeordnet. 
20 Die LAN-ldentifizierung wird durch eine sogenannte 
MAC-Adresse MAC-A (Medium Access Control) gebil- 
det, welche weltweit eindeutig ist und von der IEEE 
(Institute of Electrical and Electronical Engineers) ver- 
geben wird. Die MAC-Adresse MAC-A realisiert eine 
25 auf der Schicht 2 (Sicherungsschicht) des OSl-Refe- 
renzmodells angesiedelte 6 Byte lange Hardware- 
Adresse und ist in einem, in der LAN-AnschluBeinheit 
HLB angeordneten nicht-fluchtigen ersten Speicher 
SP1 - beispielsweise in einem EPROM - gespeichert. 
30 Die logische Netz-ldentrfizierung wird durch eine soge- 
nannte IP-Adresse IP-A (internet Erotocol) gebildet, 
welche die LAN-AnschluBeinheit HLB im lokalen Netz 
LAN eindeutig identifiziert und von einem Administrator 
der Kommunikationsanlage PBX individual vergeben 
35 werden kann. Die 4 Byte lange IP-Adresse IP-A reali- 
siert eine auf der Schicht 3 (Vermittlungsschicht) des 
OSI-Referenzmodells angesiedelte Adresse und ist in 
einem, in der LAN-AnschluBeinheit HLB angeordneten 
f lochtigen zweiten Speicher SP2 gespeichert. 
40 [001 8] Des weiteren weist die LAN-AnschluBeinheit 
HLB eine Sicherheitseinrichtung FWALL - in der Litera- 
tur haufig als 'Firewall' bezeichnet - auf, durch welche 
eine sicherheitstechnische Entkopplung des an der 
Kommunikationsanlage PBX angeschlossenen lokalen 
45 Netzes LAN und des Gffentlichen Kommunikationsnet- 
zes KN realisiert wird. Hierbei wird im Rahmen eines 
uber die Kommunikationsanlage PBX initialisierten 
Verbindungsaufbaus bzw. einer DatenObermittlung 
zwischen einer Datenverarbeitungseinrichtung 

50 PC1 PCn und dem Kommunikationsendgerat KE 

sowohl die Ursprungs- als auch die Zieladresse von zu 
ubermittelnden Daten auf ihre Zuiassigkeit for diese 
DatenObermittlung uberpruft. Dies erfolgt anhand einer 
in der Sicherheitseinrichtung FWALL hinterlegten - nicht 
55 dargesteltten - Uste mit vorgegebenen, fur eine Daten- 
Obermitttung berechtigten Adressen. Mittels der Liste 
erfolgt eine Oberprufung der, zusammen mit den zu 
ubermittelnden Daten ubermittelten Ursprungs-Adresse 
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auf eine Berechtigung fur die gewOnschte DatenGber- 
mittlung. Ist dies der Fall, kann anschlieBend auch die 
Ziel-Adresse auf ihre Berechtigung QberprOft. Alternativ 
kann auch uberpruft werden, ob der ubermrttelten 
Ursprungs-Adresse eine Berechtigung fOr einen 5 
gewunschten Dienst. wie beispielsweise Verschicken 
einer 'E-Mail* Oder Zugriff auf eine Datenverarbeitungs- 
einrichtung im Internet' zugewiesen ist. 
[001 9] Im Rahmen einer bidirektionalen Datenuber- 
mittlung zwischen dem Kommunikationsendgerat KE to 

und einer Daterrverarbeitungseinrichtung PC1 PCn 

erfolgt eine Oberprufung der Ursprungs- bzw. Ziel- 
adresse abhftngig von der Richtung der Datenubermitt- 
lung auf unterschiedlichen Ebenen des OSI- 
Schichtenmodells. Durch den AnschluB des Kbmmuni- is 
kationsendgerates KE an das Offentliche Kommunikati- 
onsnetz KN ist dem Komrrwnikationsendgerat KE fur 
eine Adressierung nur eine IP-Adresse IP-A zugeord- 
net Bei einer Datenubermittlung ausgehend vom Kom- 
munikationsendgerat KE zu einer Datenverarbeitungs- 20 
einrichtung PC1.....PCn wird uber das Offentliche Kom- 
munikationsnetz KN somit nur die IP-Adresse IP-A des 
Kommunikationsendgerates KE im Offentlichen Kom- 
munikationsnetz KN an die Sicherheitseinnchiung 
FWALL Qbermittelt. Eine Oberprufung der Ursprungs- 25 
bzw. Zieladresse erfolgt somit auf Basis der IP-Adresse, 
so daB hier in der Uteratur hauf ig von einer sogenann- 
ten 'IP-Rrewair gesprochen wird. Bei einer Datenuber- 
mittlung ausgehend von einer Datenverarbeitungs- 
einrichtung PC1 PCn zum Kommunikationsendgerat 30 

KE wird zusatzlich zur IP-Adresse IP-Ader Datenverar- 
beitungseinrichtung PC1 PCn die MAC-Adresse 

MAC-A der Datenverarbeitungseinrichtung PC1,...,PCn 
an die Sicherheitseinrichtung FWALL Qbermittelt. Eine 
Realisation die Filterfunktion erfolgt somit - alternativ 35 
Oder additiv zur IP-Adresse - auf Basis der MAC- 
Adresse MAC-A, so daB hier in der Uteratur hauf ig von 
einer sogenannten 'MAC-Firewair gesprochen wird. 
[0020] Fig. 2 zeigt eine schematische Darstellung 
der am lokalen Netz LAN angeschlossenen Datenverar- 40 

beitungseinrichtungen PC1 PCn und der LAN- 

AnschluBeinheit HLB. Den Datenverarbeitungseinnch- 

tungen PC1 PCn und der LAN-AnschluBeinhert HLB 

ist jeweils eine eindeutige 6 Byte lange MAC-Adresse 
MAC-A und eine eindeutige 4 Byte lange IP-Adresse IP- 
A zugeordnet. Beim vorliegenden Ausfuhrungsbeisptel 
wird die LAN-AnschluBeinhert HLB durch die MAC- 
Adresse MAC-A = 123456789012 und durch die IP- 
Adresse IP-A = 192.138.1.254 eindeutig identifiziert 
Durch eine MAC-Adresse MAC-A wird die jeweilige so 

Datenverarbeitungseinrichtung PC1 PCn oder die 

LAN-AnschluBeinheit HLB, bzw. die den AnschluB an 
das lokale Netz LAN realisierende - nicht dargestellte - 
AnschluBbaugruppe weltweit eindeutig identifiziert. 
Durch eine IP-Adresse IP-A hingegen werden sowohl ss 
die jeweilige Datenverarbeitungseinrichtung 

PC1 PCn Oder die LAN-AnschluBeinheit HLB als 

auch das lokale Netz LAN weltweit eindeutig identifi- 



ziert. 

[0021] Durch eine in den Datenverarbertungsein- 

richtungen PC1 PCn bzw. der LAN-AnschluBeinheit 

HLB gespeicherte sogenannte Netzmaske wird festge- 
legt welche der 32 Bit (entspricht 4 Byte) einer jeweili- 
gen IP-Adresse IP-A das lokale Netz LAN und welche 
die an das lokale Netz LAN angeschlossenen Daten- 
verarbeitungseinrichtungen PC1 PCn bzw. die LAN- 
AnschluBeinheit HLB identrfizieren. Beispielhaft ist eine 
in der LANAnschluBeinheit HLB gespeicherte Netz- 
maske 255.255.255.0 dargestellt, durch die festgelegt 
ist daB die ersten 24 Bit - entspricht 3 Byte (mit einer 
jeweiligen Bytewertigkeit von 255) - einer IP-Adresse 
IP-A das lokale Netz LAN und daB die letzten 4 Bit - ent- 
spricht dem vierten Byte (mit einer Byte-wertigkeit von 
0) - einer IP-Adresse IP-A eine am lokalen Netz LAN 
angeschlossene Einrichtung (eine Datenverarbeitungs- 
einrichtung PC1 PCn Oder die LAN-AnschluBeinheit 

HLB) identifizieren. Da den Bytewertigkeiten 0 und 255 

- wie anhand der Netzmaske 255.255.255.0 aufgezeigt 

- jeweils eine Sonderbedeutung zugewiesen ist, lassen 
sich mittels der vorliegenden Netzmaske 255.255.255.0 

- durch die IP-Adressen IP-A = 192.168.1.1 bis IP-A = 
192.168.1.254 - folglich maximal 254 am lokalen Netz 
LAN angeschlossene Einrichtungen adressieren. 
[0022] Beim vorliegenden Ausfuhrungsbeispiel wird 
das lokale Netz LAN durch die ersten 3 Bytes einer 
jeweiligen IP-Adresse IP-A, d.h. mittels der Adressen 
192.168.1.x (x = 0 255) identifiziert. Die LAN- 
AnschluBeinheit HLB ist somit durch das vierte Byte der 
entsprechenden IP-Adresse IP-A = 192.168.1.254, die 
Datenverarbeitungseinrichtung PC1 durch das vierte 
Byte der entsprechenden IP-Adresse IP-A = 
192.168.1.2. usw. identifiziert 
[0023] Alternativ besteht die M&glichkeit durch eine 
Netzmaske 255.255.0.0 fur eine Adressierung der am 
lokalen Netz LAN angeschlossenen Einrichtungen zwei 
(Oder mehr) Bytes einer IP-Adresse IP-A zu reservie- 
ren. Dies ist der Fall, wenn mehr als 254 Einrichtungen 
am lokalen Netz LAN angeschlossen werden. Des wei- 
teren kOnnen durch eine Netzmaske 255.255.255.128 
auch nur Teile des vierten Bytes - beispielsweise nur die 
letzten 7 Bit - einer IP-Adresse IP-A fur die Adressie- 
rung der am lokalen Netz LAN angeschlossenen Ein- 
richtungen reserviert werden. Dies ist sinnvoll, wenn 
beispielsweise (siehe Netzmaske) maximal 128 Einrich- 
tungen am lokalen Netz LAN angeschlossen werden. 
[0024] Bei einem Einrichten einer *MAC-Firewair in 
der Sicherheitseinrichtung FWALL der Kommunikati- 
onsanlage PBX durch einen Administrator, d.h. bei 
einem Zuweisen von datenverarbeitungseinrichtungs- 
individuellen Berechtigungen ist es notwendig die jewei- 
ligen MAC-Adressen MAC-A der Datenverarbeitungs- 

einrichtungen PC1 PCn zu kennen. 

[0025] Fig. 3 zeigt ein Ablaufdiagramm zur Veran- 
schaulichung der bei einer automatischen Ermittlung 
der entsprechenden MAC-Adressen MAC-A ablaufen- 
den wesentiichen Verfahrensschritte. In einem ersten 
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Schritt wird durch eine Analyse der in der LAN- 
AnschluBeinheit HLB hintertegten Netzmaske (He 
Anzahl max der im lokalen Netz LAN adressierbaren 
Einrichtungen ermittelt. Im vorliegenden AusfOnrungs- 
beispiel ist die Anzahl max = 255. d.h. es sind maximal 
254 Einrichtungen durch die IP-Adressen IP-A = 
192 168 1 1 bis IP-A = 192.168.1.254 adressierbar. In 
einem nachsten Schritt wird ein verfahrensinterner 
Laufparameter x aut den Wert 1 gesetzt und anschlie- 
Bend wird durch die LAN-AnschluBeinheit HLB e.ne auf 
einem sogenanmen ARP-PrrtoMI (Address ablution 
Protocol) basierende Antorderungsnachricht mit der IP- 
tosierten Ziel-Adresse IP-A = 192.168.1.x abgeschictt. 
Ist an das lokale Netz LAN eine Datenverarbeitungsem- 

richtung PC1 PCn mit der IP-Adresse IP-A = 

192 168 1 1 angeschlossen, so empfangt und veramei- 
tet diese die Anfotderungsnachricht und Cbermittelt 
eine die MAC-Adresse IP-A der Datenverarbeitungse.n- 

richtung PC1 PCn enthaltende Ruckmeldung an die 

LAN-AnschluBeinheit HLB, welche die empfangene 
MAC-Adresse MAC-A in eine dafOr vorgesehene 
Tabelle eintragt. 

[0026] Nach einem Eintrag einer durch die LAN- 
AnschluBeinheit HLB empfangenen MAC-Adresse 
MAC-A in die dafOr vorgesehene Tabelle Oder in Fai en 
in denen die LAN-AnschluBeinheit HLB nach Ablaut 
einer einstellbaren Zeitspanne keine Ruckmeldung 
erhalten hat, uberpruftdie LAN-AnschluBeinheit. obder 
verfahrensinterne Laufparameter x Werner als die 
Anzahl max ist. Ist dies der Fall, wild der verfahrensin- 
terne Laufparameter x urn den Wert 1 erhoht und von 
der LAN-AnschluBeinheit HLB wird erneut eine auf dem 
ARP-Protokoll (Address Resolution Protocol) basie- 
rende Anforderungsnachricht mit der IP-basierten Ziel- 
Adresse IP-A= 192.1 68.1.x abgeschickt. Ist der verfah- 
rensinteme Laufparameter x groBer oder gleich der 
Anzahl max. so wird das Verfahren beendet und die 
erstellte Tabelle wird einem Administrator der Kommuni- 
kationsanlage PBX zur Konfigurierung der 'MAC-Fire- 
wair in der Sicherheitseinrichtung FWALL zur 

Verfugung gestellt. . . 

[0027] Beim vorliegenden AusfOhrungsbeispiel 
errpfangt die LAN-AnschluBeinheit HLB beispielswe.se 
nach dem Abschicken einer, die Datenveraibeitungs- 
einrichtung PC1 adressierenden Anforderungsnach- 
richt mit der IP-basierten Ziel-Adresse IP-A = 
192.168.1.2 eine, die MAC-Adresse MAC-A _ = 
123456709876 der Datenveraibeitungseinrichtung PC1 
beinhaltende Ruckmeldung. 

Patentanspruche 

1 Verfahren zur Konfigurierung einer Sicherheitsein- 
richtung (FWALL) in einer Kommunikationseinnch- 

wobef^KoTimunikationseinrichtung (PBX) Ober 
eine Nete-AnschluBeinheit (HLB) mrt einem. meh- 
rere Kommunikatonseinheiten (PC1 PCn) auf- 
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weisenden lokalen Netz (LAN) veibindbar ist. 

wobei den Kommunikat'ionseinheiten (PC1 PCn) 

und der Netz-AnschluBeinheit (HLB) jeweils eine. 
die jeweilige Einheit identifizierende erste Adresse 
(MAC-A) und eine, die jeweilige Einheit und dessen 
lokales Netz (LAN) identifizierende zweite Adresse 
(IP-A) zugeordnet ist, 

wobei fur eine Ermittlung der ersten Adressen 
(MAC-A) der Kommunikationseinhe'rten 

(PC1 pen) durch die Netz-AnscMuBeinheit 

(HLB) eine Anforderungsnachricht (ARP) an alle im 
lokalen Netz (LAN), mit Hilfe der zwerten Adresse 
(IP-A) der Netz-AnschluBeinheit (HLB) ermittelten, 
adressierbaren Einheiten gesendet wild, und 
wobei in Fallen, in denen eine Kommunikationsein- 

heit (PC1 PCn) infolge einer empfangenen 

Anforderungsnachricht (ARP) eine Best&tigungs- 
meldung an die Netz-AnschluBeinheit (HLB) 
zuruckubermittelt. die dabei mitubermittelte erste 
Adresse (MAC-A) der Kommunikationseinheit 
,p C1 pen) in der Sicherheitseinrichtung 
(FWALL), der betreffenden Kommunikationseinheit 
(PC1 PCn) zugeordnet gespeichert wird. 

Verfahren nach Anspruch 1. 
dadurch gekennzeichnet, 

daB im Rahmen der Anforderungsnachricht 
(ARP) eine Kommunikationseinheit (PCI, 
...,PCn) mittels ihrer zweiten Adresse (IP-A) 
adressiertwird. 

3. Verfahren nach Anspruch 2, 
dadurch gekennzeichnet, 

daB durch eine, dem lokalen Netz (LAN) indivi- 
dual! zugeordnete und in der Netz-AnschluB- 
einheit (HLB) gespeicherte Netzadressen- 
maske und durch die zweite Adresse (IP-A) der 
NetzAnschluBeinheit (HLB) die zweiten Adres- 
sen (IP-A) aller im lokalen Netz (LAN) adres- 
sierbaren Einheiten ermittelt werden. 

4. Verfahren nach Anspruch 3, 
dadurch gekennzeichnet, 

daB eine Anforderungsnachricht an alle. in 
dem lokalen Netz (LAN) zur Adressierung von 
Einheiten mflglichen zweiten Adressen (IP-A) 
ubermittelt werden. 

5. Verfahren nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

daB die erste Adresse (MAC) einer Einheit 

(HLB; PC1 PCn) die MAC-Adresse (Medium 

Qontrol) dieser Einheit (HLB; 
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PC1 PCn) im lokalen Nete (LAN) ist 

6. Verfahren nach einem der vorhergehenden Anspru- 

che, 5 
dadurch gekennzelchnet, 

daB die zweite Adresse (IP) einer Einheit (HLB; 
PC1 PCn) die IP-Adresse (Internet Protocol) 

dieser Einheit (HLB; PC1 PCn) im lokalen 

Nete (LAN) ist. 

7. Verfahren nach einem der vorhergehenden AnsprO- 
che, 

dadurch gekennzeichnet, 

75 

daB die Anforderungsnachricht (ARP) airf dem 
standardisierten ARP-Protokoll (Address 
Resolution Protocol) basiert. 
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Fig 3 
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